Bac de recyclage (C:$Recycle.bin)

  • But: La Corbeille de recyclage sert de zone de stockage temporaire pour les fichiers et dossiers supprimés par l’utilisateur par des méthodes standard (par exemple, en appuyant sur la touche Supprérer, en cliquant droit et en sélectionnant Supprimer). Cela permet aux utilisateurs de potentiellement récupérer des éléments supprimés accidentellement. Les éléments supprimés avec Maj+Suppression contournent complètement la Corbeille de recyclage.

  • Emplacement: Chaque volume NTFS possède typiquement son propre dossier système protégé et caché, nommé à la racine du disque (par exemple, , ).$Recycle.binC:\$Recycle.binD:\$Recycle.bin

  • Accéder: Pour consulter le contenu, vous devez d’abord configurer les options de l’Explorateur de fichiers pour :

    1. « Afficher les fichiers, dossiers et disques cachés. »

    2. Décocher « Masquer les fichiers système d’exploitation protégés (recommandé). »

  • Analyse médico-légale : La clé pour analyser la Corbeille réside dans sa structure interne et les métadonnées associées aux éléments supprimés. Dans ce dossier, il y a des sous-dossiers nommés selon les identifiants de sécurité (SID) des utilisateurs qui ont supprimé des fichiers. Dans le dossier SID d’un utilisateur, chaque élément supprimé est représenté par deux fichiers cachés :$Recycle.bin

    • $I{unique_ID}.{original_extension}: Voici le fichier de métadonnées. Il contient des informations cruciales telles que le chemin complet original de l’élément supprimé et, surtout, l’horodatage indiquant exactement quand l’élément a été supprimé. L’horodatage de la date de modification/création de ce fichier reflète lui-même l’heure de suppression.$I...

    • $R{unique_ID}.{original_extension}: Ce fichier contient le contenu réel des données de l’élément supprimé.

    • Analyser les horodatages de suppression des fichiers est crucial. Trouver des fichiers liés à la triche supprimés juste avant ou pendant un partage d’écran est un signal d’alarme important.$I...

    • De plus, vérifier l’horodatage de modification à date du dossier lui-même (ou du sous-dossier SID utilisateur spécifique) peut indiquer la dernière fois qu’une interaction a eu lieu avec la boîte de ce volume – comme supprimer un élément, restaurer un élément ou vider la banche. Un délai de modification très récent mérite une enquête.$Recycle.bin

  • Contournements et limitations :

    • Shift+Supprimer : Comme mentionné, cela supprime définitivement le fichier, contournant ainsi la structure de la Corbeille. Cependant, l’événement de suppression lui-même est souvent encore enregistré dans d’autres artefacts comme le USN Journal ().$UsnJrnl

    • FAT32/exFAT : Les disques formatés avec ces systèmes de fichiers n’ont généralement pas la structure standard. Le comportement de suppression est différent, et les méthodes standard d’analyse des corbeaux ne s’appliquent pas. Les outils de récupération de fichiers (comme Recuva) deviennent plus pertinents sur ces systèmes.$Recycle.bin

PrécédentArticles récents ( shell : récent )SuivantAutres dossiers/lieux notables

Mis à jour